java - 如何使用别名获取KMS KeyId？

Question

我正在使用 awssdk v2:https://sdk.amazonaws.com/java/api/latest/

我想使用客户管理的 KMS key 将对象放入 S3 中进行静态加密，我使用 sse-c 来实现此目的。然而，它似乎总是默认使用 AWS 托管 key ，而不是客户托管 key 。

以下是我的代码:

PutObjectRequest putObjectRequest =
    PutObjectRequest.builder()
        .bucket(bucket)
        .key(key)
        .serverSideEncryption(ServerSideEncryption.AWS_KMS)
        .ssekmsKeyId(this.s3KmsKeyId) // my key alias
        .build();

s3Client.putObject(putObjectRequest, RequestBody.fromString(data)); // data = some string value

我正在使用PutObjectRequest配置我的请求和 S3Client将其发送到 S3。

由于 key 设置为旋转，我无法使用 arn 或 keyId 本身。我似乎也找不到如何使用此 sdk 实现此目的的示例。

Answer 1

为了能够从 KMS 检索 KMS key ID，您需要使用 KmsClient 。 sseKmsKeyId 不会接受别名，因为它无法使用别名计算出 key ID。

您可以执行以下操作:

KmsClient kmsClient = KmsClient.builder().build();
DescribeKeyRequest req = DescribeKeyRequest.builder().keyId("alias/your_kms_alias").build();
DescribeKeyResponse res = kmsClient.describeKey(req);

// See https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html
// For the response you will get back from DescribeKey

// Then create the request to S3

PutObjectRequest putObjectRequest =
    PutObjectRequest.builder()
        .bucket(bucket)
        .key(key)
        .serverSideEncryption(ServerSideEncryption.AWS_KMS)
        .ssekmsKeyId(res.keyMetadata().keyId()) // the actual keyId from KMS CMK
        .build();

s3Client.putObject(putObjectRequest, RequestBody.fromString(data));

另请参阅:https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/kms/model/DescribeKeyRequest.html#keyId--

If you specify a predefined AWS alias (an AWS alias with no key ID), KMS associates the alias with an AWS managed CMK and returns its KeyId and Arn in the response.

希望有帮助。